16.09.2008, 19:14 | #1 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
Троян - поиск
Сразу за этим сообщением последовало другое: файл ..., вероятно модифицированный Win32/Statik приложение, юзер NT AUTHORITY\SYSTEM. Затем он начал с большой скоростью качать и отдавать что-то в и-нет. Я выключил и-нет, включил опять - он начинает что-то качать и отправлять. Прошерстил процессы в диспетчере задач, службы просмотрел, глубокой проверкой просканировал диски (антивирь NOD 32 2.7 база данных 3444 (самая новая)). Нашёл парочку вирусов и троянов и всё. Перезагрузил комп, включил и-нет - работает нормально. Через пять минут Нод опять нашёл троян, и что-то начало качать/отправлять. Отключил два подозрительных процесса, и вроде всё работает нормально, но мне неспокойно (вирус не найден, да и плата за и-нет по траффику). Что посоветуете? |
16.09.2008, 19:14 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Рекомендую вам прочитать темы, которые уже тут встречались Троян новой модификации Троян и червь на флешке |
16.09.2008, 19:17 | #2 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
Вот что пишут на http://myceck.com/:
domain MYCECK.com has been disable |
16.09.2008, 19:23 | #4 (permalink) |
votum separatum
Регистрация: 05.05.2008
Сообщений: 14,603
Записей в дневнике: 52
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 18619
|
Дима, да.. хапанул ты гадость какую-то. Качай Dr.Web, сканируйся в безопасном режиме. При этом отключи восстановление системы и действующий Nod.
Проверь автозагрузку программ. >C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!). Отключи в свойствах папки скрытие папок и файлов, может найдешь и грохнешь вручную. Пока так, пиши что дальше будет |
16.09.2008, 19:24 | #5 (permalink) |
votum separatum
Регистрация: 05.05.2008
Сообщений: 14,603
Записей в дневнике: 52
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 18619
|
2IP NetMonitor кажется такая прожка есть. Отслеживает открытые порты и все сетевые соединения по ним (исх., вход.) Да, и почисть карантины Нода и Веба (в безопасном тоже).
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
17.09.2008, 10:18 | #6 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
Деньги кончаются! Эта гадина на пару секунд качает около 2-3 мегов!
Лицензионного Доктора мне негде достать. Все тэмпы проверил - пустые (даже по свойствам они пустые). В автозагрузке ничего лишнего нет. Сейчас буду искать этот NetMonitor. |
17.09.2008, 10:30 | #7 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
Методом проб и ошибок я его вычислил. До включения и-нета у меня было 49 процессов в диспетчере задач (их я сфоткал). После обнаружения вируса их стало 50! И он снова начал качать. Процесс я вычислил - это был один из svchost.exe. Выключил его и скачивание прекратилось!
Глубокий анализ по дискам Нодом в безопасном режиме вновь ничего не выдал. |
17.09.2008, 10:36 | #8 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
2IP NetMonitor подтвердил мою догадку (правда там этих svchost.exe нескольно, но ESTABLISHED только один). Пока схожу положу денюжку на и-нет, потом продолжу поиски трояна более тщательно.
|
17.09.2008, 12:19 | #10 (permalink) |
Member
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 515
|
Какую фигню?! Это троян! Я же сказал по ссылке не проходить!!!!
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Метки |
троян |
|
|